TILLIT I DEN
DIGITALA VÄRLDEN

Tillit är en grundbult i den digitala världen. Den får oss att ge ut våra kreditkortsuppgifter, dela våra personliga uppgifter och skriva avtal med tjänster vi kanske inte alls känner. Och ju högre tillit, desto större blir möjligheterna.

TILLITSNIVÅER SOM MATCHAR ERA BEHOV

Identiteten är fundamentet för tillit – såväl i den fysiska som i den digitala världen. När du med säkerhet kan veta vem du har att göra med kan du koppla allt som möjliggör en meningsfull relation mellan en organisation och en individ; ansvar, betalning, samtycke, avtal och leverans.

För att en identitet skall vara tillförlitlig krävs två saker:

  1. En tillförlitlig metod att överföra användarens verkliga identitet till en digital identitet.
  2. Ett säkert sätt att över tiden säkerställa att det är samma individ som håller den digitala identiteten.

En e-legitimation som uppfyller båda kriterierna kan därför användas som den hävstång varpå all er digitala verksamhet vilar. Många gör misstaget att nöja sig med det första steget. Man utfärdar en digital identitet med noggranna kontroller av användaren men låter därefter identiteten bäras av ett användarnamn och lösenord. Så sårbara som lösenorden är numera uppfyller de inte det andra kriteriet, att över tiden hålla identiteten säker.

Mer problematiskt är att ännu fler nöjer sig utan något av kriterierna; man gör ingen kontroll av att användaren är den han eller hon utger sig för att vara och låter denna svaga identitet bäras av ett osäkert lösenord. I den digitala framtid som väntar kommer dessa spelare snart vara ute.

Freja eID är en e-legitimation utformad och granskad enligt svenska och internationella standarder för att uppfylla båda kriterierna.

TILLITSNIVÅER FÖR E-LEGITIMATIONER

För att bedöma en e-legitimations tillitsnivå har det skapats olika internationella standarder. Nivåerna i dessa olika standarder är i viss mån snarlika och olika tjänster, offentliga och privata, kan ha olika nivåer att förhålla sig till. Oftast är det dock upp till er som organisation att bedöma vilken tillitsnivå ni önskar för era användare och vi kan hjälpa er hitta den nivå som är lämplig, såväl utifrån regulatoriska som säkerhetsmässiga krav.

TILLITSNIVÅ ENLIGT SVENSK STANDARD

DIGG – Myndigheten för digital förvaltning, som skapar det tillitsramverk som ligger till grund för godkännande av kvalitetsmärket Svensk e-legitimation utgår från en internationell standard med fyra tillitsnivåer.

Nivå 1: Ingen styrkt identitet och endast krav på lösenord som skydd.

Nivå 2: Styrkt identitet med handling som individen förfogar över samt krav på tvåfaktorsautentisering (2FA).

Nivå 3: Identitet styrkt via fysiskt möte där individen uppvisar godkänd svensk ID-handling. Identiteten skyddas av säker bärare med skydd av exempelvis PIN eller biometri och 2FA.

Nivå 4: Samma krav som för Nivå 3 med tillägget att identiteten måste skyddas av ett chip som kräver kortläsare vid identifiering.

TILLITSNIVÅ ENLIGT EU-STANDARD

I och med det europeiska initiativet för gränsöverskridande elektronisk identifiering – eIDAS – har EU tagit fram tre tillitsnivåer.

Låg: Begränsad tillit till personens identitiet. Typiskt består identitetsbäraren av användarnamn och lösenord, som skickas till användaren per post.

Väsentlig: Väsentlig tillit till personens identitet. Utfärdandet av ett ID på denna nivå kräver att individen kan uppvisa en giltig, myndighetsutfärdad ID-handling. Tvåfaktorsautentisering är ett krav.

Hög: Hög grad av tillit till personens identitet. Kräver ett verifierad biometri eller giltigt foto-ID. Enheten där autentiseringen görs måste vara skyddad mot duplicering och intrång.

FREJA eID:S TILLITSNIVÅER

Freja eID är skapad för såväl svensk som internationell användning och för att göra det överskådligt har vi därför definierat tre nivåer, som var och en kan motsvara såväl svensk som internationell standard.

Freja eID Bas: Kräver endast självregistrering av e-postadress och har därmed en tillitsnivå motsvarande Nivå 1 och Låg. Däremot har Freja eID Bas 2FA vilket höjer säkerhetsnivån betydligt.

Freja eID Extended: Efter att användaren registrerat Freja eID Bas styrks identiteten genom att registrera en ID-handling och ett biometriskt ID-foto. Säkerhetspersonal kontrollerar handlingens äkthet och giltighet, jämför ID-handlingens foto med det biometriska ID-fotot samt gör en slagning mot SPAR-registret för att jämföra personuppgifter och inhämta adressuppgifter.

Freja eID Extended motsvarar Nivå 2 enligt DIGG:s standard och Väsentlig enligt eIDAS. Detta är dock inte officiellt certifierat eftersom en sådan möjlighet för närvarande inte finns.

Freja eID Plus: Efter att användaren har godkänts för Extended krävs en fysisk ID-kontroll hos något av Freja eID:s 2000 ombud. En kontroll görs enligt Bankföreningens sju steg och om allt stämmer utfärdas Freja eID Plus till användaren.

Freja eID Plus har tillitsnivå 3 enligt DIGG:s standard och är också godkänd för det statliga kvalitetsmärket Svensk e-legitimation. Vår bedömning är att Freja eID Plus motsvarar eIDAS-nivån Hög men det återstår att prövas.

KVALITETSMÄRKET SVENSK E-LEGITIMATION

För att skapa en samsyn i e-legitimeringsfrågan har svenska staten tagit fram kvalitetsmärket Svensk e-legitimation. Det är DIGG – Myndigheten för digital förvaltning som, utifrån nationella och internationella säkerhetskriterier, granskar och godkänner svenska e-legitimationer för kvalitetsmärket.

Offentliga och privata aktörer med e-tjänster som kräver e-legitimation kan lita på e-legitimationer som har kvalitetsmärket Svensk e-legitimation, och användare kan känna sig trygga med att det är en säker identitetshandling.

För att få kvalitetsmärket måste e-legitimationen uppfylla kraven i Tillitsramverk för Svensk e-legitimation. Syftet är att säkerställa att e-legitimationen kan utfärdas och upprätthålla hålla den tillitsnivå ansökan gäller. Utöver den tekniska arkitekturen granskas även utfärdaren på följande punkter:

  • Finansiell stabilitet.
  • Informationssäkerhetsarbete och internkontroll.
  • Process för identifiering av personer som ansöker om att få en e-legitimation.
  • Framställande och tillhandahållande av e-legitimationer.

Freja eID Plus är Sveriges enda mobila e-legitimation som godkänts för det statliga kvalitetsmärket Svensk e-legitimation.

FÖRBEREDD FÖR eIDAS

EU-förordningen eIDAS har tillkommit för att underlätta digitala ärenden mellan medlemsstaterna och bidrar därmed till ”digitalt först” för myndigheter. Inom eIDAS är målet att skapa en gränsöverskridande e-legitimering, där varje medlemsland anmäler en eller flera nationella e-legitimationer att användas av landets medborgare för åtkomst till offentliga e-tjänster i andra EU-länder.

Från och med den 29 september 2018 är det obligatoriskt för offentliga myndigheter att tillåta inloggning även med utländska e-legitimationer. Varje land har möjlighet att tillsammans med sina e-legitimationsutfärdare välja vilka e-legitimationer landet ska anmäla enligt eIDAS för att möjliggöra inloggning i andra länders digitala tjänster.

Hittills har ungefär en tredjedel av EU-länderna anmält en e-legitimation till eIDAS. Innan den accepteras måste den först genomgå en prövning av övriga länder och vi är ännu i ett tidigt stadium innan visionen om en gränsöverskridande e-legitimering blir verklighet. Sverige har ännu inte anmält någon e-legitimation.

Freja eID skapades från start med utgångspunkt att inte bara bli godkänd för det statliga svenska kvalitetsmärket Svensk e-legitimation, utan också för att bli en e-legitimation inom eIDAS. Freja eID uppfyller alla tekniska och regulatoriska krav och vi har också gjort en formell ansökan till Regeringen om att anmäla Freja eID som Sveriges e-legitimation inom eIDAS.

Dock har Freja eID redan viss koppling till eIDAS, rent tekniskt. Freja eID är godkänd e-legitimation inom Valfrihetssystem 2017 och därmed kopplad till identitetsfederationen Sweden Connect. All trafik till och från Sverige inom eIDAS kommer att gå genom Sweden Connect, så en viktig pusselbit är redan på plats.

Att bli en del av eIDAS är en lång process och för svenskt vidkommande är vi fortfarande i ett mycket tidigt skede. Dock finns – vad vi vet – ingen annan svensk e-legitimation som är lika långt komna i sina förberedelser för eIDAS som Freja eID.

FYSISK OCH LOGISK SÄKERHET

Säkerheten är helt fundamental för Freja eID. Att skydda användarens uppgifter och integritet är grundläggande och förtroendet för en e-legitimation bygger på att den är säker. Freja eID bygger på beprövad teknik och världsledande säkerhetslösningar för att säkerställa identitetens tillförlitlighet över tiden.

Verisec, som ligger bakom Freja eID, har arbetat med IT-säkerhet sedan 2002 och hanterar digitala identiteter för miljontals människor världen över. Mycket av den teknik som ligger till grund för Freja eID har utvecklats för banker, myndigheter och företag med stora användargrupper och är beprövad och testad i storskaliga sammanhang.

SKIKTAD SÄKERHETSMODELL

Kärnan i Freja eID-tekniken är en skiktad säkerhetsmodell. För att skydda användare från olika typer av attackvektorer, särskilt identitetsstöld, och med beaktande av mobilplattformens alla sårbarheter, bygger Freja eID in säkerhetsåtgärder både i front-end och back-end för mobilappen.

AVANCERAD APPSÄKERHET

Freja eID innehåller avancerad app-avskärmningsteknik, som ger bästa möjliga skydd mot körning i potentiellt fientliga miljöer såsom jailbreakade och rootade telefoner, eller system som är smittade med skadlig kod. Dessa tekniker gör att förlitande parter kan fokusera på vad som är viktigt för deras verksamhet istället för att oroa sig för säkerheten hos de mobilaenheter som deras användare har.

KRYPTERING OCH CERTIFIKAT

All trafik mellan Freja eID appen och backend-systemet är krypterad och krypteringsnycklarna i Freja eID:s kärna skyddas av säkerhetsklassade HSM:er (Hardware Security Model). För förlitande parter krävs en symmetrisk nyckel eller SSL klientcertifikat och ett unikt förlitande part-ID för att kunna använda tjänsten. Alla personuppgifter i Freja eID:s databas är skyddade med avancerad teknik.

FYSISK SÄKERHET

Freja eID opereras helt av egen säkerhetsklassad personal och all åtkomst till systemet kontrolleras av minst två individer i förening. Systemet är helt redunant och placerat i en av världens mest avancerade datacenter, Digiplex. Anläggningen är skalskyddad, brandskyddad och försedd med avancerad kameraövervakning och dygnet-runt-bevakning av säkerhetspersonal.